MS 证书服务是否可以从属于使用 OpenSSL 创建的 CA

Question 1

是的，它运行得很好；Windows 证书颁发机构毫不犹豫地作为非 Windows 根的下属运行。

在企业模式下使用 OpenSSL 根和 Windows 2008 R2 从属进行测试。

有几件事可以与 MS CA 在 OpenSSL 配置中的期望相一致：

有效的 AIA 和 CDP 位置应适用于根证书，位于自签名根部分x509_extensions属性配置的部分中。类似以下内容：[req]

authorityInfoAccess = caIssuers;URI:http://test-rootca.test.local/root.pem
crlDistributionPoints = URI:http://test-rootca.test.local/root.crl

给定的 OpenSSL 配置可能默认不允许从属 CA。针对已签名的请求更改此设置（当然，请确保对于不应是 CA 的请求，不会出现这种情况）。这将位于由x509_extensions以下部分的属性配置的部分中[ca]：
```
basicConstraints=CA:TRUE
certificatePolicies=2.5.29.32.0
```

所以，我们将进行CA来测试。

创建你的根：

openssl req -new -x509 -keyout /etc/ssl/private/root.key -out /etc/ssl/certs/root.pem -nodes -extensions v3_ca

摆弄您的配置并在[ca]OpenSSL 配置部分中创建必要的文件和目录。

一切准备就绪，微软方面可以开始工作；创建具有手动签名的 Windows 从属 CA。

将证书请求上传到 OpenSSL 服务器。同时，下载根证书。将其导入到计算机的受信任根存储中，而不是用户的根存储中！

颁发从属证书：

openssl ca -in test-subca.req
(you might need to specify a permissive policy manually with -policy, check your config)

如果这不起作用，那么您的 CA 的配置可能存在问题 - 新证书目录、索引文件、序列文件等。请检查错误消息。

如果成功了，那就没问题了。如果还没有，请创建一个 CRL 并将其放入您上面配置的 CDP 中；我刚刚安装了 Apache 并将其卡在 webroot 中：

openssl ca -gencrl -out /var/www/root.crl

如果尚未将证书放入 AIA 位置，请执行以下操作：

cp /etc/ssl/certs/root.pem /var/www/root.pem

下载新颁发的下属证书，并使用证书颁发机构 MMC 管理单元将其安装到 CA。它会抱怨任何与信任或验证有关的问题，但它在道德上并不反对接受它。

最终结果；Windows CA 正常运行，企业 PKI 管理单元没有任何抱怨，并且OpenSSL Generated Certificate在属性中有一个提示。

工作卡

Answer